【文章內(nèi)容簡(jiǎn)介】 領(lǐng)市場(chǎng)主導(dǎo)地位的動(dòng)力之一。除此之外，還可以建立誠(chéng)實(shí)可靠的第三方公共云服務(wù)平臺(tái)，如由企業(yè)提供的云服務(wù)平臺(tái)、由政府開(kāi)發(fā)的公共云服務(wù)平臺(tái)等等。 經(jīng)過(guò)近幾年的發(fā)展，云計(jì)算技術(shù)在國(guó)內(nèi)外上都取得了可喜的成就，成為了廣大用戶可信 任的一種服務(wù)模式。但是不管是在國(guó)內(nèi)還是國(guó)外，云計(jì)算技術(shù)上都沒(méi)有一個(gè)統(tǒng)一規(guī)范，在每一個(gè)服務(wù)上云計(jì)算都有自己獨(dú)特的一套手段，從而在信息數(shù)據(jù)的傳遞和共享方面不能融合，這使得廣大的云計(jì)算技術(shù)發(fā)展不集中，更不能形成合力。如果形成了一個(gè)統(tǒng)一標(biāo)準(zhǔn)，在應(yīng)用技術(shù)、方式方法上使得各服務(wù)商達(dá)到統(tǒng)一，這樣有利于整個(gè)云計(jì)算服務(wù)領(lǐng)域的高效發(fā)展。 云計(jì)算服務(wù)的一般來(lái)說(shuō)是零星分散開(kāi)的，這就需要加強(qiáng)對(duì)數(shù)據(jù)訪問(wèn)的監(jiān)控。數(shù)據(jù)存在于網(wǎng)上和云技術(shù)提供的服務(wù)，用戶的授權(quán)限制的原因有可能訪問(wèn)不了用戶域也訪問(wèn)不了控制體系， 所以也就沒(méi)有對(duì)用戶的一些關(guān)于隱私的數(shù)據(jù)得到很好的保護(hù)了。對(duì)于一些不良商販自賣(mài)自盜的行為，需要采取相應(yīng)的對(duì)策，其中最有效的是分級(jí)分權(quán)管理，不同的用戶擁有不同的權(quán)限，根據(jù)權(quán)限來(lái)訪問(wèn)對(duì)應(yīng)權(quán)限的數(shù)據(jù)，同時(shí)采取封裝策略，不透漏用戶數(shù)據(jù)具體的存儲(chǔ)位置，以此來(lái)保護(hù)數(shù)據(jù)的安全。 對(duì)于云計(jì)算安全，防止外部人員盜取內(nèi)部數(shù)據(jù)是非常重要的，所以 數(shù)據(jù)的隔離體系顯得尤為重要，其 可以防止外來(lái)人員訪問(wèn)內(nèi)部資料。還可以采用加密技術(shù)來(lái)保證云計(jì)算的安全。在上傳前進(jìn)行秘鑰加密，上傳后再通過(guò)對(duì)應(yīng)的加密方式來(lái)解密，這樣就能保證在上傳過(guò)程中的安全性。至 于加密的手 段有很多，而且加密手段也很成熟。一般來(lái)說(shuō)，在數(shù)據(jù)加密的同時(shí)，大部分 還會(huì)同時(shí)使用數(shù)據(jù)切分，就是把數(shù)據(jù)分成不同的部分分散存儲(chǔ)在不同區(qū)域的服務(wù)器上，這樣更能保證數(shù)據(jù)的安全性。 如果想預(yù)防來(lái)自外面的攻擊那就需要通過(guò)完整的保護(hù)跟秘密的保駕護(hù)航，來(lái)保護(hù)存儲(chǔ)在硬盤(pán)中的數(shù)據(jù)不被剽竊，保護(hù)程序免于篡改。在這種情況下是無(wú)法區(qū)分訪問(wèn)是來(lái)自進(jìn)程內(nèi)或者是其他進(jìn)程：攻擊程序和受害程序運(yùn)行在同一個(gè)平臺(tái)上，另外還共同使用是個(gè)密碼加密程序（當(dāng)然也產(chǎn)生數(shù)據(jù)摘要）。這樣很明顯可以看出，安全終端不能僅僅只是抵御來(lái)自平臺(tái)之外的攻擊就可以實(shí) 現(xiàn)的了。這么第 15 頁(yè) 共 43 頁(yè) 說(shuō)吧，有三個(gè)層次可以進(jìn)行進(jìn)程的隔離。如果存儲(chǔ)器在外部的話，進(jìn)程的不同，采取的措施也不同，來(lái)加密數(shù)據(jù)的秘要也不同，從而生成的加密摘要也不盡相同。假如進(jìn)程之間可以相互訪問(wèn)然而尼瑪可以互設(shè)不同，不僅在解密方面的話只會(huì)可能拿到錯(cuò)誤的信息，而且系統(tǒng)會(huì)在不能通過(guò)系統(tǒng)驗(yàn)證的情況下及時(shí)制止非法的訪問(wèn)。當(dāng)然還可以在硬件方面功夫使得軟件可以對(duì)密鑰，保護(hù)模式等進(jìn)行配置。 數(shù)據(jù)的完整性顧名思義就是在長(zhǎng)時(shí)間內(nèi)，存儲(chǔ)在云端的數(shù)據(jù)是不會(huì)隨著時(shí)間的推移而改變的，也不會(huì)造成數(shù)據(jù)丟失什么的。在傳統(tǒng)意義上，如果 想保證在云計(jì)算服務(wù)器里 面的數(shù)據(jù)是安全的可以通過(guò)這幾個(gè)手段，第一通過(guò)拍照，備份是一種比較有效的措施，還有容災(zāi)等手段，數(shù)據(jù)備份的實(shí)現(xiàn)需要軟件硬件來(lái)支持，通過(guò)硬件備份就是再備用一個(gè)服務(wù)器，兩個(gè)服務(wù)器的數(shù)據(jù)相同，通過(guò)軟件備份就是用現(xiàn)有的企業(yè)的備份軟件來(lái)實(shí)現(xiàn)，可以按照用戶的需求來(lái)進(jìn)行操作包括在線備份，離線備份等，這樣對(duì)用戶的影響很少了。云計(jì)算的安全環(huán)境因?yàn)樘摂M記得加入而改變，但是也引起了很多前安全問(wèn)題。即便能夠解決，但是復(fù)出的代價(jià)未免過(guò)于昂貴（保護(hù)機(jī)制很復(fù)雜而且需要的安全工具和方法與主機(jī)使用的完全不同）。引入虛擬機(jī)引起的安全問(wèn)題包括以下內(nèi) 容：攻擊打不了補(bǔ)丁，偵聽(tīng)是在脆弱的服務(wù)器端口進(jìn)行，安全措施差的賬戶可能會(huì)被綁架，密鑰（接入和管理主機(jī)）被盜。 不過(guò)這樣也是可以的，為了解決這類(lèi)問(wèn)題 可以采取這樣的措施，通過(guò)選擇具有安全模塊的虛擬服務(wù)器來(lái)解決。此外，還需要為每一個(gè)服務(wù)器分一個(gè)獨(dú)立的硬盤(pán)分區(qū)，在進(jìn)行邏輯上隔離和進(jìn)行安裝的時(shí)候。如果要想實(shí)現(xiàn)虛擬服務(wù)器之間的隔離可以通功 VLAN 和不同的 IP網(wǎng)來(lái)實(shí)現(xiàn)，他們之間的通訊可以通過(guò) VPN 及有計(jì)劃的備份可以實(shí)現(xiàn)。 技術(shù) 層面防范 網(wǎng)絡(luò)安全問(wèn)題 社會(huì)和人類(lèi)的發(fā)展往往都是這樣，沒(méi)有人會(huì)知道未來(lái)會(huì)發(fā)生的事，云計(jì)算 系統(tǒng)也一樣，不能抗拒的自然現(xiàn)象、一些硬件及軟件事故的發(fā)生，都會(huì)影響云計(jì)算的順利運(yùn)行，而作為服務(wù)商，必須要有風(fēng)險(xiǎn)意識(shí)，能夠做到未雨綢繆，在技術(shù)上給予更完善的保障，要形成一套比較完備的預(yù)備措施，一旦發(fā)生意外，將能夠立即對(duì)數(shù)據(jù)庫(kù)中的資料進(jìn)行 備 份和保護(hù)。在防范云計(jì)算在網(wǎng)絡(luò)上的風(fēng)險(xiǎn)，技術(shù)上的突破是必須要加強(qiáng)的。 例如， SSL 是大多數(shù)云計(jì)算安全應(yīng)用的基礎(chǔ)，但也可能成第 16 頁(yè) 共 43 頁(yè) 為一個(gè)主要的病毒傳播媒介，需要更多的監(jiān)控和管理。 IaaS 云服務(wù)商應(yīng)該保證這一物理架構(gòu)的安全性。一般來(lái)說(shuō)，只有經(jīng)過(guò)授權(quán)的員工才可以訪問(wèn)運(yùn)營(yíng)企業(yè)的硬件設(shè)備。 IaaS 提供商應(yīng)該及時(shí)對(duì)客戶的應(yīng)用數(shù)據(jù)進(jìn)行徹底的安全檢查，避免風(fēng)險(xiǎn)的發(fā)生，如執(zhí)行病毒程序等等。 SaaS 提供商則應(yīng)最大限度地確保提供給客戶的應(yīng)用程序和相關(guān)組件的安全性，用戶通常只需要負(fù)責(zé)操作層的安全功能，包括用戶的訪問(wèn)管理、身份驗(yàn)證等等。 云計(jì)算技術(shù)的安全性實(shí)施措施可從服務(wù)端和客戶端兩個(gè)方面操作。作為服務(wù)端，安全性主要由服務(wù)的提供商來(lái)實(shí)現(xiàn) ,目前確保云中信息安全的方法主要有建立可信云、安全認(rèn)證、數(shù)據(jù)加密、法律和標(biāo)準(zhǔn)協(xié)議。如 Google 的 SaaS 提供的云服務(wù)就是具備比較專(zhuān)業(yè)規(guī)范的安全保證。數(shù)據(jù)的安全性和數(shù)據(jù) 控制權(quán)是企業(yè)最關(guān)心的問(wèn)題之一 ,使用強(qiáng)加密和密鑰管理是云計(jì)算技術(shù)系統(tǒng)保護(hù)數(shù)據(jù)的一種核心機(jī)制。目前云中的機(jī)密數(shù)據(jù)必須通過(guò)合同責(zé)任、訪問(wèn)控制組、加密措施等進(jìn)行保護(hù)。密鑰管理可分為訪問(wèn)密鑰存儲(chǔ)、保護(hù)密鑰存儲(chǔ)、密鑰備份與恢復(fù)等。當(dāng)前有許多標(biāo)準(zhǔn)和指導(dǎo)方針對(duì)云中的密鑰管理適用 ,如 OASIS 密鑰管理協(xié)同協(xié)議(KMP), 標(biāo)準(zhǔn)等 [12]。通過(guò)在企業(yè)應(yīng)用程序中加入單點(diǎn)登錄 SSO 的認(rèn)證功能 ,采用強(qiáng)制用戶認(rèn)證、代理協(xié)同認(rèn)證、資源認(rèn)證、不同安全域之間的認(rèn)證或者不同認(rèn)證方式相結(jié)合的方式。 客戶端的安全性主要體現(xiàn)在網(wǎng)絡(luò)安 全和 用戶操作安全等方面。云計(jì)算的客戶端的網(wǎng)絡(luò)安全最直觀的體現(xiàn)是 WEB 應(yīng)用。 WEB 瀏覽器因開(kāi)放性和自身漏洞等原因 ,遭遇攻擊的頻率很高 ,因此成為計(jì)算中非常脆弱的環(huán)節(jié)之一。要保護(hù)用戶的證書(shū)和認(rèn)證密碼不被木馬盜竊 ,就必然要為其提供切實(shí)可行的深層次的防御技術(shù)。如趨勢(shì)科技推出主動(dòng)式服務(wù) TMHD,目前正研究的 WEB應(yīng)用防火墻。作為云計(jì)算的用戶 ,進(jìn)行應(yīng)用云服務(wù)時(shí) ,應(yīng)該支持云安全技術(shù)的安全產(chǎn)品 ,這樣才能在基礎(chǔ)設(shè)施防御、端點(diǎn)安全、服務(wù)器和桌面取證與防御等方面 ,確保實(shí)時(shí)可靠的安全簽名升級(jí)與技術(shù)支持的服務(wù)。例如：保護(hù)云 API 密鑰的安全 ,就要求提供商 提供多把密鑰 ,分開(kāi)存儲(chǔ)數(shù)據(jù)并做到備份數(shù)據(jù)。增強(qiáng)端點(diǎn)的可靠性 ,端點(diǎn)設(shè)備上要盡量少放數(shù)據(jù) ,防止數(shù)據(jù)丟失或者不能訪問(wèn) ,并確保備份數(shù)據(jù)在存儲(chǔ)和轉(zhuǎn)移時(shí)受到切實(shí)嚴(yán)密的保護(hù)。推出深入的云安全防御措施。黑客對(duì)公共云基礎(chǔ)設(shè)施和公共云防御措施的理解熟悉必將為其攻擊公共云提供技術(shù)上的支持 ,能有效防止被云計(jì)算的驅(qū)逐。深入的云安全防御措施的推出將是勢(shì)在必行的 ,將通向第 17 頁(yè) 共 43 頁(yè) 公共云眾多的大門(mén)注入新的防御措施以便能夠及時(shí)的發(fā)現(xiàn)所有可能發(fā)生的安全事件。關(guān)注云中數(shù)據(jù)安全性。云計(jì)算以迅猛之勢(shì)發(fā)展著 ,這必然引發(fā)云部署模型從單一模式走向綜合 模式的優(yōu)化 ,各種公共云服務(wù)的綜合 ,又必然引發(fā)云中龐大數(shù)據(jù)管理與分析的技術(shù)的不斷更新 ,保護(hù)企業(yè)復(fù)合數(shù)據(jù)源的安全性和完整性是一個(gè)巨大的挑戰(zhàn)。同時(shí)，要注重隱私的精妙程序設(shè)置和云安全法則的制定出臺(tái)是云服務(wù)迫切期盼的云中應(yīng)用程序的開(kāi)發(fā)。 Cloud Foundry 被提名為最佳開(kāi)發(fā)臺(tái) ,標(biāo)志著在云計(jì)算技術(shù)中開(kāi)發(fā)應(yīng)用軟件成為了一種新趨勢(shì)。對(duì)軟件行業(yè)來(lái)說(shuō) ,云計(jì)算真正為研發(fā)業(yè)務(wù)和研發(fā)管理提供了一個(gè)面向服務(wù)的、統(tǒng)一的、動(dòng)態(tài)規(guī)劃的平臺(tái) ,并從根本上消除了開(kāi)發(fā)的諸多局限性。 入侵檢測(cè)和安全傳輸研究 本 文以上幾個(gè)小結(jié)提到了云計(jì)算作為一門(mén)新興的技術(shù)所存在的問(wèn)題和運(yùn)用理論知識(shí)如何解決進(jìn)行了闡述，僅有理論的知識(shí)還遠(yuǎn)遠(yuǎn)不夠，要在實(shí)際通信傳輸過(guò)程中解決此類(lèi)問(wèn)題還需要在技術(shù)實(shí)踐方面進(jìn)行驗(yàn)證，而在以上所提到的安全問(wèn)題中，兩塊內(nèi)容不可不談，也是安全問(wèn)題的重中之重，一塊是云數(shù)據(jù)傳輸?shù)娜肭謾z測(cè)方方面，還有一個(gè)問(wèn)題就是關(guān)于怎么樣應(yīng)對(duì)安全傳輸?shù)膯?wèn)題，接下來(lái)本文就運(yùn)用網(wǎng)絡(luò)安全方面的知識(shí)結(jié)合云計(jì)算的安全理論，將這兩塊內(nèi)容結(jié)合起來(lái)探討研究。 第 18 頁(yè) 共 43 頁(yè) 第四章 云計(jì)算入侵檢測(cè) 要保證云計(jì)算在傳輸過(guò)程中的安全性能，除了以上幾個(gè)問(wèn)題之外，還有一個(gè)急 需解決的問(wèn)題就是怎么樣應(yīng)對(duì)網(wǎng)絡(luò)入侵方面的問(wèn)題，其中包括云計(jì)算網(wǎng)絡(luò)傳輸過(guò)程中數(shù)據(jù)攜帶的的病毒，蠕蟲(chóng)，木馬等等，所以需要對(duì)云計(jì)算網(wǎng)絡(luò)傳輸進(jìn)行入侵檢測(cè)，但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測(cè)算法，對(duì)現(xiàn)在高流量大數(shù)據(jù)的監(jiān)測(cè)是力不從心的，所以在云計(jì)算時(shí)代對(duì)于入侵檢測(cè)算法的改進(jìn)是迫不及待的，接下來(lái)就云計(jì)算網(wǎng)絡(luò)入侵檢測(cè)的問(wèn)題展開(kāi)研究探討。 云計(jì)算中入侵監(jiān)測(cè)系統(tǒng)的定義為（ Intrusion Dete System，簡(jiǎn)稱(chēng)Ⅲ S）：監(jiān)視和分析在云計(jì)算網(wǎng)絡(luò)渠道中傳輸?shù)臄?shù)據(jù)和信息，從而發(fā)現(xiàn)來(lái)自云計(jì)算外部和內(nèi)部的異常 。 云計(jì)算檢測(cè)系統(tǒng)的具體實(shí)施解決方法是這樣的， 假設(shè)是系統(tǒng)是存在問(wèn)題的，也就是不安全的，但是入侵行為的存在是能被檢測(cè)到的，通過(guò)監(jiān)測(cè)分析系統(tǒng)和用戶的行為。所以 IIIs的主要作用是檢測(cè)并提交異常行為，發(fā)現(xiàn)入侵，其包括以下幾個(gè)方面。 圖 第 19 頁(yè) 共 43 頁(yè) (1)監(jiān)視、分析云數(shù)據(jù)端用戶及系統(tǒng)活動(dòng)； (2) 檢臺(tái)系統(tǒng)配置及存在的漏洞： (3) 評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性； (4) 識(shí)別己知的攻擊行為； (5) 統(tǒng)計(jì)分析異常行為； (6) 管理操作系統(tǒng)的日志．并識(shí)別違反用戶安全策略的行為 計(jì)算網(wǎng)絡(luò)入侵檢測(cè)的分類(lèi) 網(wǎng)絡(luò)入侵檢測(cè)主要分為兩大類(lèi)，這是根據(jù)數(shù)據(jù) 來(lái)源的不同分類(lèi)的，一種是主機(jī)型另外一種是網(wǎng)絡(luò)型和主機(jī)型，主機(jī)型 主要是以日志作為參考，除此之外也可以通過(guò)方式 比如那些從主機(jī)收集的信息進(jìn)行分析在進(jìn)行檢測(cè)。另一類(lèi)是網(wǎng)絡(luò)型，其數(shù)據(jù)源有別于主機(jī)型，其 采樣依據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包。通常的做法是將網(wǎng)卡設(shè)置一下，當(dāng)云計(jì)算網(wǎng)絡(luò)進(jìn)行傳輸?shù)臅r(shí)候?qū)魅氡揪W(wǎng)斷的數(shù)據(jù)包進(jìn)行抓包分析進(jìn)行判斷再進(jìn)行防范。 傳統(tǒng)的互聯(lián)網(wǎng)入侵檢測(cè)技術(shù)在算法上難以解決現(xiàn)在云技術(shù)時(shí)代的要求，原有的入侵技術(shù)在算法上簡(jiǎn)單的使用 BM 單模式匹配，其 速度已經(jīng)滿足不了現(xiàn)有的網(wǎng)絡(luò)需求，所以在云技術(shù)時(shí)代的背景下新的檢測(cè)模式發(fā)揮著巨大的作用。 應(yīng)用于云計(jì)算傳輸?shù)哪Ｊ狡ヅ錂z測(cè)技術(shù) 云傳輸模式匹配是基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。 具有分析速度快、誤報(bào)率低等優(yōu)點(diǎn)。模式匹配檢測(cè)技術(shù)對(duì)網(wǎng)絡(luò)上的每個(gè)數(shù)據(jù)包的具體分析過(guò)程如下： (1)從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開(kāi)始和攻擊特征比較； (2)如果比較結(jié)果相同，則說(shuō)明檢測(cè)到一個(gè)可能的攻擊，輸出事件結(jié)果： (3)如果比較結(jié)果不同，從網(wǎng)絡(luò)數(shù)據(jù)包下一個(gè)位置重新開(kāi)始比較： 第 20 頁(yè) 共 43 頁(yè) (4)直到檢測(cè)到攻擊或網(wǎng)絡(luò)數(shù)據(jù)包中所有字節(jié)匹 配完畢，一個(gè)攻擊特征匹配結(jié)束； (5)對(duì)于每一個(gè)攻擊特征，重復(fù) (1)至 (3)開(kāi)始的比較： (6)直到每一個(gè)攻擊特征匹配完畢，則數(shù)據(jù)包的匹配分析完畢。 圖 云計(jì)算檢測(cè)模塊涉及到許許多多字符，字節(jié)，或者字符串的匹配，所以匹配算法的優(yōu)劣性對(duì)系統(tǒng)檢測(cè)的性能是最為直接的體現(xiàn)。云計(jì)算監(jiān)測(cè)系統(tǒng)中的匹配算第 21 頁(yè) 共 43 頁(yè) 法常用到的有這兩種，一種是 KMP算法，另外一種是 BM算法。這兩個(gè)算法在惡劣的條件下均需要消耗呈線性的搜索時(shí)間，但是相對(duì)來(lái)說(shuō) BM算法較為先進(jìn)，其次數(shù)更加少，所以， BM經(jīng)常被首選為云計(jì)算用于檢測(cè)。 這兩種云計(jì)算檢測(cè)算法都采用定長(zhǎng)順序存儲(chǔ)結(jié)構(gòu)，可以寫(xiě)出不依賴(lài)于其他串操作的基本匹配算法。云計(jì)算模式匹配算法的基本思想是：從云端數(shù)據(jù)包主串 S的第 pos 個(gè)字符起和模式的第一個(gè)字符比較之，若相等，則繼續(xù)逐個(gè) 比較后續(xù)字符；否則從云數(shù)據(jù)流主串的下一個(gè)字符起再重新和模式的字符比較之。依次類(lèi)推，直至模式 T 中的每個(gè)字符依次和主串 S 中的一個(gè)連續(xù)的字符序列相等，則匹配成功，函數(shù)值為和模式 T中的第一個(gè)字符相等的字符在主串 S 中的序號(hào)，否則稱(chēng)匹配不成功，函數(shù)值為零。 其具體的檢測(cè)算法為 圖 但是模式匹配的算法在云 計(jì)算安全方面還有值得改進(jìn)的地方使其速度更快在匹配模式的進(jìn)一步改進(jìn)過(guò)程中產(chǎn)生了 KMP算法 。 KMP算法在云計(jì)算中的應(yīng)用 KMP算法是 D． E． Knuth與 V． RPratt和 J． H Morris同時(shí)研究出的，因此人們稱(chēng)其 為克努特一莫里斯一普拉特操作 (簡(jiǎn)稱(chēng)為 KMP算法 )此算法可以在 O(n+m)的時(shí)間數(shù)量級(jí)上完成模式匹配。因?yàn)槠渌俣瓤斓忍匦员粦?yīng)用于云技術(shù)中，常用來(lái)解決云端數(shù)據(jù)傳輸過(guò)程中的檢測(cè)數(shù)據(jù)流的作用。 第 22 頁(yè) 共 43 頁(yè) 其特點(diǎn)為：每當(dāng)一趟匹配過(guò)程中出現(xiàn)字符比較不等時(shí)，不需回溯指針，而是